一种网络安全态势指标体系的计算方法技术

本发明专利技术涉及一种网络安全态势指标体系的计算方法，建立防火墙设备模型；针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全阈值、预警阈值及告警阈值，计算出当前的指标是处于安全、预警、告警区域；针对具有多个安全指标的防火墙设计防火墙的安全指标计算模型；针对网络中的所有防火墙设备设计总体的防火墙安全指标计算模型，计算网络中所有防火墙的总指标。本发明专利技术可以对网络安全态势进行预警、告警，根据总指标的异常定位具体的防火墙设备，量化了计算结果；避免异常指标被淹没、无法发现潜在的系统威胁；解决了传统的网络安全态势计算结果定义模糊的问题。

A Calculating Method of Network Security Situation Index System

The invention relates to a calculating method of network security situation index system, which establishes a firewall device model; designs a calculating model of security index for each index of firewall, sets the security threshold, early warning threshold and warning threshold of each index, calculates the current index is in the security, early warning and warning area; designs a firewall with multiple security indexes. The calculation model of firewall security indicators; the overall firewall security indicators calculation model is designed for all firewall devices in the network, and the total indicators of all firewalls in the network are calculated. The invention can warn and alarm the network security situation, locate specific firewall devices according to the anomaly of the total index, quantify the calculation results, avoid the anomaly index being flooded and can not find potential system threats, and solve the problem of ambiguous definition of the traditional network security situation calculation results.

【技术实现步骤摘要】
一种网络安全态势指标体系的计算方法
本专利技术主要涉及网络安全
，针对具有代表性的防火墙设备提出了一种网络安全态势指标体系的计算方法。
技术介绍
正常的网络环境一般由安全设备做支撑，每一种设备都具备多种不同的指标、用以表示当前网络运行的安全程度，这些安全指标的单位和安全范围也都不尽相同，面对网络环境中众多的设备对象，如何统一表示和更加合理地体现当前网络环境的网络安全态势、成为一个比较棘手的问题。目前大多数采用加权平均方法，最终计算的网络安全态势指标物理意义不明、指标不灵敏、危险的指标容易被淹没，无法反映网络安全的实际情况。
技术实现思路
针对现有技术中存在的上述问题，本专利技术公开了一种防火墙安全态势指标体系的计算方法，该方法对具有代表性的防火墙设备进行了建模，抽取了反映网络安全特性的指标，基于这些底层指标设计了一套安全态势指标体系，通过对整个网络中防火墙总指标的可视化监视、感知当前网络的安全态势。本专利技术所采用的技术方案如下：一种网络安全态势指标体系的计算方法，针对网络安全中具有代表性的防火墙设备建立安全指标模型，针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全、预警及告警阈值，根据指标计算模型计算出当前的指标是处于安全、预警、告警区域。具体包括以下步骤：步骤1、建立防火墙设备模型，设置反映防火墙安全特性的典型指标分量：a为端口流量、h为策略命中率；步骤2、针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全阈值、预警阈值及告警阈值，根据端口流量a和策略命中率h的值、通过指标计算模型计算出当前的指标是处于安全、预警、告警区域；步骤3、针对具有多个安全指标的防火墙设计防火墙的安全指标计算模型；步骤4、针对网络中的所有防火墙设备设计总体的防火墙安全指标计算模型，计算网络中所有防火墙的总指标。本专利技术的有益效果：1)本专利技术可以对网络安全态势进行预警、告警，根据总指标的异常定位具体的防火墙设备，量化了计算结果；2)本专利技术中防火墙的某个指标出现异常、直接体现到此防火墙的总指标，避免异常指标被淹没、无法发现潜在的系统威胁；3)本专利技术对于网络安全态势感知和防御发挥积极的作用，解决了传统的网络安全态势计算结果定义模糊的问题。附图说明图1是本专利技术的逻辑流程框图；图2是本专利技术的指标体系的架构示意图。具体实施方式下面结合附图，具体说明本专利技术的实施方式。如图1所示，是本专利技术的逻辑流程框图；如图2所示，是本专利技术的指标体系的架构示意图。一种基于防火墙的网络安全态势指标体系计算方法，包括以下步骤：步骤1、建立防火墙设备模型，根据防火墙的特性，设置反映防火墙安全特性的典型指标分量：a为端口流量、h为策略命中率；设定端口流量预警阈值为20M、告警阈值为40M，设定策略命中率预警阈值为60％、告警阈值为80％；端口流量为端口在一定时间内流过的数据量，端口流量的定义需要按照具体的业务去量化，不同的业务正常开展时这个数值是在一定的范围的，异常时通常有被攻击的风险。策略命中率为防火墙中配置的策略生效的个数和总个数的比值，如果此值过高，则有被攻击的风险。步骤2、针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全阈值、预警阈值及告警阈值，根据端口流量a和策略命中率h的值、通过指标计算模型计算出当前的指标是处于安全、预警、告警区域，假设指标安全区间为(90，100)，指标预警区间为(80，90)，指标告警区间为(70，80)，可以选择一个单调的有界函数(如反正切函数)构建指标计算模型。端口流量指标计算模型：f(a)＝r/((arctan(k1)-arctan(a)+k0)*((arctan(k1)-arctan(a)+k0)，其中r为常数，k0为常数，k1为告警的阈值，举例如下：1)当流量小于20M时，指标安全；r＝1，k0＝0.5，k1＝20此时f′∈(90,100)。2)当流量大于20M时，指标预警；r＝1.11，k0＝0.5，k1＝40，此时f′∈(80,90)。3)当流量大于40M时，指标告警；r＝1.23，k0＝0.5，k1＝40000此时f′∈(70,80)。上述公式中，r、k0为常数，r用于调整各个区间的指标值，避免区间重叠，k0为经验值，避免分母为零，f是指标值。策略命中率指标计算模型：f(h)＝r/((arctan(k1)-arctan(h)+k0)*((arctan(k1)-arctan(h)+k0)，其中r为常数，k0为常数，k1为告警的阈值，举例如下：1)当命中率小于60％时，指标状态安全；r＝1，k0＝0.5，k1＝60此时f′∈(90,100)。2)当命中率小于80％时，指标预警：r＝1.05，k0＝0.5，k1＝80此时f′∈(80,90)。3)当命中率大于80％时，指标告警：r＝1.12，k0＝0.5，k1＝100此时f∈(70，80)。上述公式中，r、k0为常数，r用于调整各个区间的指标值，避免区间重叠，k0为经验值，避免分母为零，f’是指标值。步骤3、针对具有多个安全指标的防火墙设计防火墙的安全指标计算模型g(f′)；1)如果f’(a)和f’(h)均安全；g(f’)＝f’(a)/2+f’(h)/22)如果f’(a)预警，f’(h)预警；g(f’)＝f’(a)/2+f’(h)/23)如果f’(a)告警，f’(h)告警；g(f’)＝f’(a)/2+f’(h)/24)如果f’(a)预警，f’(h)安全；g(f’)＝f’(a)+(90-f’(a))/(90-80)*f’(h)/1005)如果f’(a)安全，f’(h)预警；g(f’)＝f’(h)+(90-f’(h))/(90-80)*f’(a)/1006)如果f′(a)告警，f’(h)安全；g(f’)＝f’(a)+(80-f’(a))/(80-70)*f’(h)/1007)如果f’(a)安全，f’(h)告警；g(f’)＝f’(h)+(80-f’(h))/(80-70)*f’(a)/1008)如果f’(a)告警，f’(h)预警；g(f’)＝f’(a)+(80-f’(a))/(80-70)*f’(h)/1009)如果f’(a)预警，f’(h)告警；g(f’)＝f’(h)+(80-f’(h))/(80-70)*f’(a)/100步骤4、针对网络中的所有防火墙设备设计总体的防火墙安全指标计算模型，计算网络中所有防火墙的总指标c(g)，计算方法见步骤3，在此不再重复。至此即构建了防火墙的三级指标体系，而且每层的指标体系都处于区间(70，100)之间，且灵敏度高，如果底层指标异常即可反映到顶层指标，从顶层指标亦可追溯到底层指标。本文档来自技高网...

【技术保护点】
1.一种网络安全态势指标体系的计算方法，其特征在于，针对网络安全中具有代表性的防火墙设备建立安全指标模型，针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全、预警及告警阈值，根据指标计算模型计算出当前的指标是处于安全、预警、告警区域。

【技术特征摘要】
1.一种网络安全态势指标体系的计算方法，其特征在于，针对网络安全中具有代表性的防火墙设备建立安全指标模型，针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全、预警及告警阈值，根据指标计算模型计算出当前的指标是处于安全、预警、告警区域。2.根据权利要求1所述的一种网络安全态势指标体系的计算方法，其特征在于，具体包括以下步骤：步骤1、建立防火墙设备模型，设置反映防火墙安全特性的典型指标分量：a为端口流量、h为策略命中率；步骤2、针对防火墙的每个指标设计安全指标计算模型，设定每个指标的安全阈值、预警阈值及告警阈值，根据端口流量a和策略命中率h的值、通过指标计算模型计算出当前的指标是处于安全、预警、告警区域；步骤3、针对具有多个安全指标的防火墙设计防火墙的安全指标计算模型；步骤4、针对网络中的所有防...

【专利技术属性】
技术研发人员：张东院，胡信超，刘涛，刘晓亮，张涛，
申请(专利权)人：积成电子股份有限公司，
类型：发明
国别省市：山东,37